在受管交換機上配置基於MAC的訪問控制清單(ACL)和訪問控制條目(ACE)
目標
訪問控制清單(ACL)是一個網路流量過濾器清單和相關操作清單,用於提高安全性。它阻止或允許使用者訪問特定資源。ACL包含允許或拒絕訪問網路裝置的主機。基於媒體訪問控制(MAC)的訪問控制清單(ACL)是使用第2層資訊來允許或拒絕訪問流量的源MAC地址清單。如果封包從無線存取點傳至區域網路(LAN)連線埠,或反之亦然,則此裝置會檢查封包的來源MAC位址是否與清單中的任何專案相符,並檢查ACL規則與框架的內容是否相符。然後,它使用匹配的結果來允許或拒絕此資料包。但是,將不會檢查從LAN到LAN埠的資料包。訪問控制條目(ACE)包含實際訪問規則條件。建立ACE後,ACE將應用於ACL。您應該使用訪問清單來提供訪問網路的基本安全級別。如果沒有在網路裝置上設定存取清單,就可能會允許所有通過交換器或路由器的封包進入網路的所有部分。
本文提供如何在託管交換機上配置基於MAC的ACL和ACE的說明。
適用裝置 | 軟體版本
- Sx350系列 | 2.2.0.66(下載最新版本)
- SG350X系列 | 2.2.0.66(下載最新版本)
- Sx500 系列 | 1.4.5.02(下載最新版本)
- Sx550X系列 | 2.2.0.66(下載最新版本)
配置基於MAC的ACL和ACE
配置基於MAC的ACL
步驟 1.登入到基於Web的實用程式,然後轉到訪問控制>基於MAC的ACL。
步驟 2.按一下Add按鈕。
步驟 3.在ACL Name欄位中輸入新ACL的名稱。
步驟 4.按一下「Apply 」,然後按一下「Close」。
步驟5.(可選)按一下Save,將設定儲存到啟動組態檔中。
現在,您應該在交換器上設定一個基於MAC的ACL。
配置基於MAC的ACE
當某個埠收到幀時,交換機通過第一個ACL處理該幀。如果幀匹配第一個ACL的ACE過濾器,則會執行ACE操作。如果幀與任何ACE過濾器都不匹配,則處理下一個ACL。如果在所有相關ACL中未找到與任何ACE相匹配的,則預設丟棄該幀。
在此場景中,將建立ACE以拒絕從特定使用者定義的源MAC地址傳送到任何目標地址的流量。
注意:可通過建立允許所有流量的低優先順序ACE來避免此預設操作。
步驟 1.在基於Web的實用程式上,轉至訪問控制>基於MAC的ACE。
重要信息:要充分利用交換機的可用特性和功能,請從頁面右上角的Display Mode(顯示模式)下拉選單中選擇Advanced(高級)來切換到Advanced(高級)模式。
步驟 2.從ACL Name下拉選單中選擇ACL,然後按一下Go。
注意:表中將顯示已為ACL配置的ACE。
步驟 3.按一下Add按鈕將新規則新增到ACL。
註:ACL名稱欄位顯示ACL的名稱。
步驟 4.在Priority欄位中輸入ACE的優先順序值。首先處理優先順序值較高的ACE。值1是最高優先順序。
步驟5.(可選)選中Enable Logging覈取方塊以啟用與ACL規則匹配的日誌記錄ACL流。
步驟 6.按一下與當幀符合ACE的所需條件時所執行的所需操作對應的單選按鈕。
註:在本示例中,選擇了Deny。
-
允許 — 交換機轉發符合ACE所需標準的資料包。
-
拒絕 — 交換機丟棄符合ACE必需標準的資料包。
-
Shutdown — 交換機丟棄不符合ACE必需標準的資料包,並禁用接收資料包的埠。
注意:在「埠設定」頁面上可以重新啟用禁用的埠。
步驟7.(可選)選中Enable Time Range覈取方塊,允許為ACE配置時間範圍。時間範圍用於限制ACE的有效時間。
步驟8.(可選)從Time Range Name下拉選單中,選擇要應用於ACE的時間範圍。
注意:可以按一下編輯以導航到「時間範圍」頁面並在該頁面上建立時間範圍。
步驟 9.在Destination MAC Address區域中,點選與ACE的所需條件對應的單選按鈕。
選項包括:
-
Any — 所有目標MAC地址都適用於ACE。
-
使用者定義 — 在Destination MAC Address Value和Destination MAC Wildcard Mask欄位中輸入要應用於ACE的MAC地址和MAC萬用字元掩碼。萬用字元掩碼用於定義MAC地址範圍。
注意:在本示例中,選擇了Any。選擇此選項意味著要建立的ACE將拒絕ACE流量。
步驟 10.在Source MAC Address區域中,點選與ACE的所需條件對應的單選按鈕。
選項包括:
-
Any — 所有源MAC地址都適用於ACE。
-
使用者定義 — 在源MAC地址值和源MAC萬用字元掩碼欄位中輸入要應用於ACE的MAC地址和MAC萬用字元掩碼。萬用字元掩碼用於定義MAC地址範圍。
注意:在本示例中,選擇了「使用者定義」。
步驟11。(可選)在VLAN ID欄位中,輸入與訊框的VLAN標籤相符的VLAN ID。
步驟12.(可選)要在ACE條件中包括802.1p值,請選中Include in the 802.1p覈取方塊。802.1p涉及技術服務類別(CoS)。CoS是乙太網幀中的3位欄位,用於區分流量。
步驟 13.如果包括802.1p值,請輸入以下欄位:
-
802.1p值 — 輸入要匹配的802.1p值。802.1p規範使第2層交換機能夠區分流量的優先順序並執行動態組播過濾。這些值如下:
- 0 — 背景。最不優先的資料,如批次傳輸、遊戲等。
- 1 — 盡最大努力。在普通LAN優先順序上需要盡力傳送的資料。網路不提供任何傳送保證,但資料根據流量獲得未指定的位元率和傳送時間。
- 2 — 出色的努力。需要重要使用者盡力交付的資料。
- 3 — 關鍵應用,如Linux虛擬伺服器(LVS)電話會話初始協定(SIP)。
- 4 — 影片。延遲和抖動小於100毫秒。
- 5 — 語音Cisco IP電話預設值。延遲和抖動小於10毫秒。
- 6 — 網際控制LVS電話即時傳輸協定(RTP)。
- 7 — 網路控制。維護和支援網路基礎設施要求很高。
-
802.1p掩碼 — 輸入802.1p值的萬用字元掩碼。此萬用字元掩碼用於定義802.1p值的範圍。
步驟14。(可選)輸入要匹配的幀的EtherType。Ethertype是乙太網幀中的2個二進位制八位數的欄位,用於指示幀的有效負載使用哪個協定。
步驟 14.按一下「Apply」,然後按一下「Close」。建立ACE並將其與ACL名稱關聯。
步驟 15.按一下Save將設定儲存到啟動配置檔案中。
現在,您應該在交換機上配置基於MAC的ACE。
其他可能有用的連結:
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
13-Dec-2018 |
初始版本 |
意見